Info over yaha virus.
 

Naam:
W32.Yaha.E@mm / Yaha.F / Yaha.G
Type:
Internet Worm
Besturing:
Microsoft Windows
Datum:
18 juni 2002
Risico:
Middel
Bron:
(c) 2002, VirusAlert
Aliassen:
W32.Yaha.D@mm
W32.Yaha.F@mm
WORM_YAHA.E
w32.Yaha.F
w32.Yaha.G

© VirusAlert schaal

Innovatie: 25
Besturing: 45
Logistiek: 15
Schade: 27


Schaal: 28/100


Aanduiding: GEVAARLIJK








Eigenschappen:

Laatste update: 22-06-2002 om 01.40
Er is nu ook een gratis verwijderingstool beschikbaar zie hieronder!!!!!!!!!!
Het risico voor ontvangst van dit virus is toegenomen. VirusAlert heeft daarom het risico verhoogd naar "middel/medium".

Yaha.E is een mass-mailer internetworm die zich verspreidt via e-mail.
Het virus is afkomstig uit India.
Het virus wordt geactiveerd door het bijlagebestand te openen, of automatisch indien gebruikers geen Microsoft-patches tbv. "Incorrect MIME-header" hebben geinstalleerd. (zie hieronder)

Het virus installeert zich vervolgens op het systeem en verstuurt zichzelf naar alle contactpersonen die het vindt in het adressenboek van de volgende programma`s:

- Microsoft Windows (.WAB)
- MSN Messenger
- Yahoo pager list
- ICQ
- en overige adressen die het vindt in bestanden waarvan de extensie begint met .ht (bijvoorbeeld .htm of .html)

Het virus verstuurt zichzelf door onder wisselende naamstellingen van de onderwerp-aanduiding als de tekst van het bericht. Het bestand waarin het virus zit verpakt is altijd 25.619 byte groot. Het virus tracht geinstalleerde firewall en AV-software uit te schakelen. Op bepaalde systemen slaagt het virus erin om ervoor te zorgen dat bepaalde programma`s niet kunnen starten.

Afhankelijk van de naam van de Windows "prullenbak" plaats het virus zich op deze locatie, of anders in de standaard Windows directorie (meestal c:\windows). De naamstelling van dit bestand wisselt en wordt samengesteld uit 6 willekeurige getallen. De extensie van dit bestand is altijd .dll.

Mogelijke naamstelling: 64538920.dll

Eigenschappen van het e-mailtje:

-Onderwerp: [continue wisselend]

-Tekst van het bericht: [continue wisselend]

[Maar veel van de Yaha.E mailtjes bevatten een eerste alinea die luidt:]

This e-mail is never sent unsolicited. If you need to unsubscribe,
follow the instructions at the bottom of the message.
***********************************************************

-Naam bijlagebestand: Dit bestand is 25,619 byte groot.
1e deel van de naam is of/of:
[Al dan niet met FW: (forward) er voorgeplaatst]
checkfriends
dailyreport
darm
friends
friends4u
friendscr
friendsearch
frienship4u
FRUNLOG
goldfish
lbiodata
love
lovefinder
loveletter
loversgang
lovescr
mountan
New relations to check
New WordPad Document
ontslagwerf
passion
rampen in steden in de 14 eeuw
report
resume
rishtha
screensaver4u
shakingfriends
shakingfriendship
tHiZz
tHiZz iZz FroM me §t@ñ tHa EuRO
truelovers
Wachtwoorden enzo...
weeklyreport



De 1e extensie luidt of/of:

.doc
.mp3
.xls
.wav
.txt
.jpg
.gif
.dat
.bmp
.htm
.mpg
.mdb
.zip

De eindextensie is of/of:

.pif
.bat
.scr

Voorbeeld:
loveletter.txt.bat


Preventieve maatregelen:
-Installeer preventief de juiste patches van Microsoft. Deze zorgen ervoor dat het mailtje bij binnenkomst niet in staat is om zichzelf te activeren en door te sturen. Zie Windows-Update, hieronder.


Herkenning van besmetting:

-Trillen/bewegen van uw Windows-desktop.
-Weergave van een aantal tekst-vensters hiervan zijn de volgende teksten bekend:
-U r so cute today #!#!
-True Love never ends
-I like U very much!!!
-U r My Best Friend

1. Bestand(en):
Aanwezigheid van het volgende bestand op uw systeem:

Afhankelijk van de naam van de Windows "prullenbak" plaats het virus zich op deze locatie, of anders in de standaard Windows directorie (meestal c:\windows). De naamstelling van dit bestand wisselt en wordt samengesteld uit 6 willekeurige getallen. De extensie van dit bestand is altijd .dll.

Mogelijke naamstelling: 64538920.dll

2. Registry:
In de sleutel:
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command\

Wordt een verwijzing gemaakt naar "bestandsnaam, zie 1".

[Dit zorgt ervoor dat het virus iedere keer na het opstarten van Windows wordt geactiveerd.]




Verwijder instructies:
Optimaal verwijderen bestaat uit 2 stappen.

1a. Update uw antivirussoftware.

1b. Verwijder het virus met uw ge-update AV-software EN/OF via een online tool of scanner.
Online tools & scanners
U vindt een overzicht op de linkpagina, van deze site. klik hier.
zie voor de tools onder "antivirus-verwijderingstools"
zie voor de scanners onder "check online op.."

2. Pas de registry van Windows aan, zie hieronder.

Aanpassen van de registry:
Yaha.E tast de registryfunctie aan, daarom dient u eerst regedit.exe om te zetten in regedit.com
Ga naar "start" -> "uitvoeren / run"
type in: copy regedit.exe regedit.com [enter]
type in: start regedit.com [enter]

Vervolgens: Ga naar de waarde:
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

Je ziet dan een mappenstructuur die eindigt in de geopende map "command".
(Of kies CTRL-F en zoek op de naam "command".
(Controleer vervolgens of je in de bovenstaande mappenstructuur zit!)

Deze selecteer je.
Kies vervolgens in het rechterpaneel de waarde "standaard"
Indien u hier een verwijzing vindt naar het virusbestand (zie "preventie maatregelen : 1") dan heeft het virus deze dus aangepast en dient u onderstaande stappen uit te voeren!

Klik met rechtermuisknop op dit icoon en kies "wijzigen".
Pas vervolgens de waardegegevens aan, type in ["%1" %*].
Kies [ok].
De standaardwaarde in de commandsleutel is nu veranderd in: ""%1" %*"

Start de PC opnieuw op en voer vervolgens met uw ge-update AV-software een volledige systeemscanuit, zet hierbij ook de scan op verborgen bestanden aan. Lees evt. hiervoor de helpfunctie van uw av-pakket.

Da's nog 'ns nuttige info. Dan wordt dit het officielw Yaha-virus-topic want het loopt de spuigaten uit.

Bron aub, want hier ben ik wel in geinteresseerd. (En nee, ik heb 't virus zelf niet, de fase van het openen van onbekende attachements ben ik onderhand wel ontgroeid ;))

Met dank aan de @home site:

http://www.virusalert.nl/?show=virus...9281900095039d

Handig programmatje:

http://www.bitdefender.com/download/...=AntiYahaa.scr


Verwijdert het virus ;)

Handig programmaatje:

http://www.eudora.com


"Alternatieve" emailer ;)

ik snap dit virus niet
ik krijg een shitload aan yaha-mailtjes
betekent dit nou dat ik het virus heb of dat er veel domme luitjes zijn die die attachments hebben geopend en dus het virus hebben en dus die mailtjes naar mij sturen?

Mail Delivery System
Undelivered Mail Returned to Sender -Hersteld...

vooral die krijg ik veel
rond de 40k per stuk, inbox in no time vol :(

ik heb geen attachs geopend maar toch schijnt het dat ik vage mailtjes stuur (naar compleet vreemde mensen)

best creepy
er staan allerlei dingen in die ik ooit eens heb gezegd/ontvangen via msn, maar ook dingen die nergens op slaan


zoals deze:

bison meet the Quakers i got tonight panic machine beat acid step lay brain ovulation only kick taq 9 we are just slaves QRq55BOJQJhnHBOJQJhnHQRpqQRpqP [StandaardmHDADStandaardalinealettertype JNRWXadhqtRWRob SipsD\Mijn Documenten\platen thijdocldGTimes New Roman5Symbol3ArialCFComic S

beat
acid
taq9
we are just slaves

heb ik ooit eens gezegd/ontvangen

Volgens mij is het al voldoende de emails te openen..

die heb ik ook veel, maar dat is dus kennelijk een andere, want het bestand heeft een andere grootte....

verder: duidelijke info, alleen ontbreekt nu nog die link naar de online scanner die je in het begin van het stuk beloofd

Hetzeflde heb ik ook vernomen. Zit 't toch in de header oid. De laatste Windows updates weten besmetting bij opening te voorkomen. Keb dus snel geupdate en de Virus scanner er nog maar eens doorheen gehaalt.

Nope, is precies hetzelfde virus.


K had de attachment maar eens geopend, en toen had de fire wall w32yaha.d@mm te pakken, duzzz

dit is dus ook voor et virus dat je bestanden in vbs omzet?? (vbs_loveletter virus)
dus de oplossing voor mijn (http://forum.scholieren.com/showthre...hreadid=136253) probleem? ;)

kun je ook gewoon je computer formatteren zodat het is verwijderd of niet?

nogal een drastische maatregel maar het werkt wel ja :p

Ik neem aan dat mijn goed ge-update virusscanner Norton Antivirus 2002 al bestendig is tegen dit virus ondertussen?! (2 min. geleden geupdate)?!

is er ook een manier om die mailtjes niet meer te krijgen???

Stekker uit je PC trekken ;)

Ik open vage dingen altijd op school...

lol!
had ik niet eens aan ged8 :D

Al gedaan, ik had er ook last van, maargoed mijn Windows 98 / XP multiboot was toch al een rommeltje.., zeer instabiel

ik word er vrij gek van :( kreeg er zonet weer een stuk of 15.. heb net maar ff een mailtje naar allen gestuurd met het vriendelijke verzoek hun pc te scannen op virussen.

Ik heb lekker Macintosh... MOEHAHA!!!!

En ik heb lekker Eudora!!! Zonder veiligheidslek, waardoor ik nog ouderwets zélf mijn attachments moet starten en waardoor dit soort virussen mijn adresboek niet kunnen lezen..

Ikke lekker ook... :P :)
Op zo'n moment voel ik me dan toch wel veilig jah... :)
Maargoe, er komt tegenwoordig zoveel rommel, toch maar eens NAV installeren... ;)

(y) (y) (y)

BitDefender vindt niets, en toch stuur ik die emails.. :confused:

Msja... ik heb dat ding dat hierboven ergens wordt genoemd laten scannen (het vond niks), en toch zei iemand dat ik ze blijkbaar ook stuur :confused: of diegene loog :s

Ehmmm....explain ik zie 8 getalletjes geen zes

Bij mij vond'ie ook niks toen ik het in het weekend had laten scannen, maar vandaag ineens wel.... ok, het is nu wel verwijdert, dat wel. :)

kheb et virus ook gehad, inmiddels verwijderd.

maar ik kan nu geen enkel programma meer gebruiken [behalve IE dus..] want dan komt der dit te staan: Kan cgre".exe niet vinden. Dit programma is vereist om bestanden met de extensie Toepassing te starten.

iemand enig idee hoe ik hier vanaf kom?

Blijkbaar heeft het virus dan iets in het register verandert waardoor bestanden met de extensie .exe worden geopend door het virus zelf. Ik heb even een kopie gemaakt van de betreffende registersleutel naar dit bestand: http://huiswerkservice.nl/misc/exefile.reg. Als je dit opent dan is het waarschijnlijk opgelost...

Raar hotmail virus!
 

Hallo,

Misschien is dit een toevoeging op het YAHA-virus topic, maar ik heb ook last van een tamelijk onschuldig, maar vooral lastig virus! Ik heb het eigenlijk alleen op mijn hotmail en dat virus stuurt mailtjes door naar allerlei adressen die ik niet eens ken en krijg ik van Mail Delivery Subsystem allerlei vage dingen terug! Terwijl ik die mailtjes nooit gestuurd kan hebben. Soms wel 6 per dag, valt op zich wel mee maar ik wil wel van dat virus af!

Ik heb die YAHA-removal al gedownload maar dat had geen zin....Kan iemand me aan een removal helpen van het virus wat ik beschrijf en zijn er ook anderen die 'r ook last van hebben?

greetz en bedankt!

http://nu.nl/document?n=58681

of je er wat aan hebt, geen id :D

kan ..\Content.IE5\ADN8LO7I\exefil~1.reg niet importeren: het opgegeven bestand is geen registerscript. U kunt alleen registerbestanden importeren. :/

Dan heb je zeker geen Windows XP? Ik heb het bestandje even aangepast zodat het nu waarschijnlijk/hopelijk ook in Windows 9x werkt... (hmm zo te zien werkt het ook nog in XP)

Ik heb ook hetzelfde probleem. Ontzettend irritant! Krijg allemaal van die vage mailtjes. Normaliter krijg ik een mailtje met de voornaam en de achternaam van de desbetreffende persoon, maar nu hele vage mailtjes (allemaal 40 Kb or 39) met alleen de achternaam van die persoon. Errug vaag dus.

Mailtjes van blabla mail delivery service etc. is gewoon Yaha hoor.

ja maar komen ze ook vanuit mijn account?

typfoutje neem ik aan?

Ik krijg dit virus vaker naar mijn prive account gestuurd dan een account waar ik allemaal junk mail krijg. :confused:

Nope. Die komen van een ander. Yaha probeert je nieuwsgierig te maken, zodat je de attachment opent om te kijken of jij dat mailtje gestuurd hebt. Yaha stuurt geen dingen naar jezelf, beetje tijdverspilling ;)

nee kheb Windows 98 maar et werkt nog niet :/

Dan zit het probleem waarschijnlijk toch ergens anders, masterofpuppetz. Misschien dat een nieuwe install van Windows over je huidige versie heen helpt?

Hier staat een mooi overzicht van hoe je Yaha kan herkennen:
http://europe.f-secure.com/v-descs/yaha_e.shtml

De beschrijving die jij noemt staat er overigens ook tussen:

(y) ik kan een grijns toch niet onderdrukken als ik hulpeloze outlook-gebruikers hoor klagen over een virus, terwijl ze het bestand zelf helemaal niet hebben geopend :D

ik heb er nu zon 175 opgespaard :p (mischien heb ik de 150 verschillende wel.. kan ik gaan kwartetten:))

75 mensen in bloklist
maar het gekke is..
ik heb het virus NOOIT geopend..
en ik kreeg een normaal mailtje van iemand waarin stond dat ze zon virus email van mij had gekregen..

ik ben in geen 2 jaar dat ik een pc heb infect egraakt met een virus..
en ben er ook zeker van dat ik dat nu niet heb want dat BitDefender YAHAA removal tool vind NIETS

is hier ook een verklaring voor ?
want ik BLIJF mensen blokke...

ook komt een groot deel van die virussen van "friendship.com" etc..

erg handige en nuttige info..
maar 6 willekeurige cijfers en dan een voorbeeld geven met 8 cijfers schept een beetje verwarring :confused:

Jah dat zeg ik! :confused:

heb je het mailtje geopend met outlook?
dan ben je besmet :p